個人電腦保全要領 (Windows)

• 安裝台大簽訂的全校版防毒軟體
  – http://download.cc.ntu.edu.tw，以計中E-mail帳號即可登入。
• 定期更新Windows修正程式
  – 請利用Windows Update，或直接到微軟網站更新。詳細步驟

  1.若要立即檢查更新，請選取 [開始]按鈕，再移至 [設定]。
  

  2.選取[更新與安全性]。
  

  3.然後選取 [檢查更新]，如果 Windows Update 指出您的裝置已是最新狀態，即表示已經安裝目前所有可用的更新。
  

• 注意系統漏洞與病毒的最新消息
  – http://cert.ntu.edu.tw
• 設定使用者的帳號與密碼，並更改Administrator帳號名稱
  – 主機必須設定登入的帳號與密碼，並將Administrator帳號更改為其他名稱，以防駭客輕易破解密碼。詳細步驟
  【Windows2000】
  『開始』→『設定』→『控制台』雙擊『系統管理工具』→ 進去以後再雙擊『電腦管理』
  在左方的樹狀目錄處選擇『本機使用者和群組』→ 選擇『使用者』
  選取administrator的帳號再按內容就可以更改帳號名稱
  
  變更Administrator的密碼，請按鍵盤上的Ctrl-Alt-Del，然後選擇【變更密碼】

  【Windows XP】
  『開始』→ 『設定』→ 『控制台』雙擊『使用者帳戶』
  
  按變更帳戶可變更帳戶名稱及密碼

  
  這裡可更改帳戶名稱及密碼

• 設定Windows檔案共享的權限
  – 盡量不開啟檔案共享。如果一定要共用，也必須做到檢測登入者的帳號與密碼。詳細步驟
  【Windows2000】
  選取共享的資料夾，按滑鼠右鍵，選『內容』
  

  【Windows XP】
  選取共享的資料夾，按滑鼠右鍵，選『內容』
  

  
  – 密碼長度至少8個字元以上，其間夾雜數字為佳。
• 不隨意開啟郵件的附加檔(如. bat, .com, .cmd, .exe, .pif, .scr, .zip…) ，並且關閉郵件預覽功能。
  –詳細步驟
  關閉郵件預覽功能：

  【Outlook Express】
  進入outlook express，按上方工作列的『檢視』→ 『版面配置』
  
  去除勾選『顯示預覽窗格』

  【Microsoft Outlook】
  進入outlook的收件匣，按上方工作列的『檢視』→ 按一下『預覽窗格』
  

• 不要以郵件寄件者名稱判斷郵件的安全性
  – 病毒郵件喜好假造寄件者，查看病毒信的真正來源，可以從郵件的mail header看出病毒信來源的IP address。詳細步驟
  【Outlook Express】
  選擇郵件，按滑鼠右鍵選『內容』

  進入後選擇『詳細資料』的頁面
  
  從網際網路標題中可以找出email來源的ip:Return-Path: <>

  X-Original-To: xxx@ntu.edu.tw

  Delivered-To: xxx@ntu.edu.tw

  Received: from relay3.tp1rc.edu.tw (relay3.tp1rc.edu.tw [163.28.16.33])

      (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))

      (No client certificate requested)

      by ntu.edu.tw (Postfix) with ESMTP

      id 6680A3D4744; Mon,? 8 Mar 2004 05:54:40 +0800 (CST)

  來源的IP address(如下紅色字所示)

  Received: from localhost (localhost [127.0.0.1])

      by relay3.tp1rc.edu.tw (Postfix) with ESMTP

      id 06F132666D; Mon, 8 Mar 2004 05:54:40 +0800 (CST)

  Received: from ntu.edu.tw (255.5.30.61.isp.tfn.net.tw [61.30.5.255])

      by relay3.tp1rc.edu.tw (Postfix) with SMTP

      id 8F64B26654; Mon, 8 Mar 2004 05:54:19 +0800 (CST)

  From: =?Big5?B?qMinSrx2rbW7c6dA?= <aquasoft@so-net.net.tw>

  Subject: DVD&VCD =?Big5?B?pU6ryLtzp0A=?=

  Content-Type: multipart/related; type="multipart/alternative"; boundary="=_NextPart_2relrfksadvnqindyw3nerasdf"

  MIME-Version: 1.0

  Date: Sun, 7 Mar 2004 22:59:14 +0800

  X-Priority: 3

  Message-Id: <20040307215419.8F64B26654@relay3.tp1rc.edu.tw>

  To: undisclosed-recipients: ;

  X-Spam-Status: No, hits=8.5 tagged_above=1.0 required=10.0

  tests=DATE_IN_PAST_06_12, EXTRA_MPART_TYPE, HTML_60_70, HTML_FONT_BIG,

  HTML_FONT_COLOR_BLUE, HTML_FONT_COLOR_GREEN, HTML_FONT_COLOR_RED,

  HTML_FONT_FACE_BAD, HTML_FONT_FACE_ODD, HTML_IMAGE_ONLY_12, HTML_MESSAGE,

  HTML_WEB_BUGS, MAILTO_WITH_SUBJ, MIME_BOUND_NEXTPART, PRIORITY_NO_NAME,

  RCVD_IN_RFCI, UNDISC_RECIPS

  X-Spam-Level: *********

  ---

  【Microsoft Outlook】
  選擇郵件，按滑鼠右鍵選『選項』
  
  
  
  從網際網路標題中可以找出email來源的ip:

  Return-Path: <>

  X-Original-To: xxx@ntu.edu.tw

  Delivered-To: xxx@ntu.edu.tw

  Received: from relay3.tp1rc.edu.tw (relay3.tp1rc.edu.tw [163.28.16.33])

      (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))

      (No client certificate requested)

      by ntu.edu.tw (Postfix) with ESMTP

      id 6680A3D4744; Mon, 8 Mar 2004 05:54:40 +0800 (CST)

  來源的IP address(如下紅色字所示)

  Received: from localhost (localhost [127.0.0.1])

      by relay3.tp1rc.edu.tw (Postfix) with ESMTP

      id 06F132666D; Mon, 8 Mar 2004 05:54:40 +0800 (CST)

  Received: from ntu.edu.tw (255.5.30.61.isp.tfn.net.tw [61.30.5.255])

      by relay3.tp1rc.edu.tw (Postfix) with SMTP

      id 8F64B26654; Mon, 8 Mar 2004 05:54:19 +0800 (CST)

  From: =?Big5?B?qMinSrx2rbW7c6dA?= <aquasoft@so-net.net.tw>

  Subject: DVD&VCD =?Big5?B?pU6ryLtzp0A=?=

  Content-Type: multipart/related; type="multipart/alternative"; boundary="=_NextPart_2relrfksadvnqindyw3nerasdf"

  MIME-Version: 1.0

  Date: Sun, 7 Mar 2004 22:59:14 +0800

  X-Priority: 3

  Message-Id: <20040307215419.8F64B26654@relay3.tp1rc.edu.tw>

  To: undisclosed-recipients: ;

  X-Spam-Status: No, hits=8.5 tagged_above=1.0 required=10.0

   tests=DATE_IN_PAST_06_12, EXTRA_MPART_TYPE, HTML_60_70, HTML_FONT_BIG,

   HTML_FONT_COLOR_BLUE, HTML_FONT_COLOR_GREEN, HTML_FONT_COLOR_RED,

   HTML_FONT_FACE_BAD, HTML_FONT_FACE_ODD, HTML_IMAGE_ONLY_12, HTML_MESSAGE,

   HTML_WEB_BUGS, MAILTO_WITH_SUBJ, MIME_BOUND_NEXTPART, PRIORITY_NO_NAME,

   RCVD_IN_RFCI, UNDISC_RECIPS

  X-Spam-Level: *********

• 不安裝來歷不明有版權的軟體。
  – 安裝該軟體後，很可能也被植入了後門程式。
• 切勿安裝不信任網站（無公信力網站)的憑證
  – 安裝了該網站提供的憑證，很可能也被植入了後門程式。詳細步驟
  

  

  

  

• 檢視主機是否增加不認識的使用者帳號
  –詳細步驟
  【Windows 2000】【Windows XP】
  『開始』a『設定』a『控制台』雙擊『系統管理工具』a進去以後再雙擊『電腦管理』
  在左方的樹狀目錄處選擇『本機使用者和群組』a選擇『使用者』
  檢視主機是否增加不認識的使用者帳號
  
  如圖中的hacker是不明的使用者帳號，可選取後按滑鼠右鍵選『刪除』以刪除該帳號。

  【windows 2000】【windows XP】
  系統的內建帳號則建議停用該帳號。如果打開guest帳號，其他人有可能不需密碼就可以進入你的電腦，所以建議把它關掉或直接移除掉。
  

  移除guest的方式跟上面移除不明帳號的方式一樣
  如要關掉guest，請選擇然後按滑鼠右鍵選『內容』，勾選『帳戶已停用』
  

• 檢視是否被植入後門程式:
  – 利用一些免費的工具檢查是否有不正常的process正在執行。例如，Active ports, fport。詳細步驟
  –可利用Smartline公司提供的工具Active Ports來檢查電腦中正在執行哪些應用程式，以及系統開啟了哪些port。
  –請到http://www.protect-me.com/freeware.html下載aports.zip解壓縮後執行setup.exe進行安裝
  

  執行結果如下，可以選”Terminate Process”停止某個process。
  

  也可利用一個Foundstone公司提供的工具(fport)來檢查電腦中正在執行哪些應用程式，以及系統開啟了哪些port。
  –請到http://www.foundstone.com/knowledge/proddesc/fport.html下載 fport。
  使用方法：
  把下載回來的檔案解壓後，把fport.exe放在任一目錄下(以下把fport.exe放在D:\temp 目錄中作示範)
  『開始』 → 『執行』 → 輸入cmd按確定
  C:\>D:
  D:\>cd temp
  D:\temp>fport
  
  可看到所有ports(包括TCP,UDP)的使用情況，檢查有沒有不明的程式在利用電腦傳送資料。

  如要關掉不明的程式可按Ctrl-Alt-Del，然後選擇【工作管理員】，在處理程序這一頁可看到所有執行中的程式
  
  如有不正常的程式正在執行，選取該程式並按結束處理程序，使該程式停止執行。

• 定期做好個人資料備份，如果不幸因中毒造成資料毀損還可補救。
• 妥善管理伺服器
  – 關閉不需要的服務
  – 更新server的修正程式
• 如果架設SQL server，IIS(Internet Information Services)或其他server，必須為該service另外安裝修正程式
  – SMTP Service 。詳細步驟
  連接到微軟網站http://www.microsoft.com/taiwan 下載伺服器的更新程式
  

  

  

  

  

• 必須設限某些IP才可透過該server轉信